19.3.3. Restaurer l'accès à un volume

Une fois que les clés de chiffrement auront été sauvegardées (voir Section 19.3.1, « Se préparer à enregistrer vos clés de chiffrement. » et Section 19.3.2, « Sauvegarde des clés de chiffrement »), l'accès pourra être restauré à un pilote selon les besoins.

Procédure 19.5. Restaurer l'accès à un volume

  1. Extraire le paquet escrow pour le volume, du stockage de paquets, et envoyez le vers l'un des utilisateurs désignées afin qu'il soit décrypté.
  2. L'utilisateur désigné exécute : 
    volume_key --reencrypt -d /the/nss/directory escrow-packet-in -o escrow-packet-out
    Après avoir fourni le mot de passe de base de données NSS, l’utilisateur désigné choisira une phrase secrète pour le chiffrement escrow-paquet-out. Cette phrase secrète peut varier à chaque fois et ne protège que les clés de cryptage que lorsqu'elles sont transférées de l’utilisateur désigné au le système cible.
  3. Obtenir le fichier escrow-packet-out et la phrase secrète de l'utilisateur désigné.
  4. Démarrer le système cible dans un environnement où volume_key peut être exécuté et où un paquet escrow-packet-out est disponible (en mode de secours, par exemple).
  5. Exécutez: 
    volume_key --restore /path/to/volume escrow-packet-out
    Vous apercevrez alors une invite vous demandant la phrase secrète de paquet qui a été choisie par l'utilisateur désigné, et la nouvelle phrase secrète du volume.
  6. Monter le volume en utilisant la phrase secrète de volume choisie.
Il est possible d’enlever l'ancienne phrase secrète oubliée en utilisant cryptsetup luksKillSlot, par exemple, afin de libérer l'emplacement pour la phrase secrète dans l’en-tête de LUKS du volume chiffré. Cela se fait par la commande cryptsetup luksKillSlot device key-slot. Pour plus d’informations et d’exemples, voir cryptsetup--aider.